Ubuntu Server インストーラの Github, Launchpad からの ssh公開鍵インポート機能

Example 1. ❄️: “https://github.com/settings/keys からSSH Keyとして突っ込ん…” – :don: github.com/settings/keys からSSH Keyとして突っ込んどくと便利だし、今のUbuntu Serverはセットアップでそれを使う項目すらあるので なるほど便利そう 試してみようと Ubuntu Server 18.04.2 LTS (ubuntu-18.04.2-live-server-amd64.iso) のインストーラで試してみました. Download Ubuntu Server | Download | Ubuntu OpenSSH を導入するようにすると,SSH鍵をインポートするオプションで Github / Launchpad が選べます. こんな感じでインポートされました. インストールが終了して ssh login するとインポートされた鍵で login 出来ました. インポートされた公開鍵を確認するとコメント部分が少し書き換わっています. $ cat ~/.ssh/authorized_keys ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIPgwY9aZPxN/YoBBzd7TOcCk7EuGO0E9PuUjCHPtTuHP matoken@github/16598604 # ssh-import-id gh:matoken ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIEoKnbjj7cVafcAJbYHqUEua1x/81uzoK0LnjgqmR6H8 matoken@github/33364582 # ssh-import-id
Continue reading Ubuntu Server インストーラの Github, Launchpad からの ssh公開鍵インポート機能

Ansibleもくもく会(サーバ編)2019.03 in オイシックス・ラ・大地!に遠隔参加 #ansiblejp

03/26にこのイベントに遠隔参加してみました.遠隔枠がある!てことで申し込み.人気があるようで申込み時点ではギリギリ選外でしたがその後繰り上がりで参加できました. Ansibleもくもく会 (サーバ編)2019.03 in オイシックス・ラ・大地! – connpass 「Ansibleもくもく会 (サーバ編)2019.03 in オイシックス・ラ・大地!」の記録 #ansiblejp – Togetter 構成管理ツールの1つである Ansible 及び Ansible Tower のもくもく会です. 遠隔枠では BlueJeans という会議システムを利用でしたがトラブルのためほぼなしで最後のLTの一部のみ聞けた感じでした. 教材となるドキュメント(Ansible を1から始める人でもok)を見ながら用意されたAWS 環境を利用して各自学習していき,質問等はGoogleDoc を共有してそこで質問するとメンターの方が答えてくれるという形でした. 会議システムがうまく行きませんでしたが,GoogleDocとメンターの方々のおかげで十分成り立つ感じでした. 興味がある方は教材は公開されているのでそれを利用して自習したり(要環境構築),04/20にもリモート枠のある(恐らく)同じイベントがあるので参加してみるといいかもしれません. Ansibleもくもく会 (サーバ編)2019.04 in 甲府! – connpass また,もくもく会ではありませんがこういうイベントも開催されるようです. こちらもウェブ参加枠があるので可能なら参加してみようと思っています. Ansible Night in Tokyo 2019.04 – connpass ここから自分のハマったところ サーバのパスワードが短い単語1つだったのでログインして即変更したけど,認証にパスワード認証を使っていたのでansible が通信できなくなってしまった. $ ansible control -m command -a “uptime” -o
Continue reading Ansibleもくもく会(サーバ編)2019.03 in オイシックス・ラ・大地!に遠隔参加 #ansiblejp

ansible-tower setupメモ

「Ansibleもくもく会 (サーバ編)2019.03 in オイシックス・ラ・大地!」にリモート枠が!鹿児島からでも参加できそうと申し込みました. Ansibleもくもく会 (サーバ編)2019.03 in オイシックス・ラ・大地! – connpass 参加するに当たってAWSの環境が用意されるようだけど手元の回線は不安定だし勉強会後のことも考えると手元にも環境を用意しておいたほうが良さそうということで以下のページを参考にセットアップしました.その時つまずいたときのメモです. ansible/ansible-tower at master · h-kojima/ansible · GitHub ※Debian sid amd64 上のKVM 環境に CentOS7 x86_64 環境を用意してその中で設定しました. ansible-tower-setup のバージョンはlatest で 3.4.2-1 でした. setup.sh の実行は tower ディレクトリの下で Step2 で,setup.shを実行するとリポジトリが見つからずエラーとなる $ sudo ./ansible-tower-setup-$VERSION.el7/setup.sh https://releases.ansible.com/ansible-tower/rpm/dependencies//epel-7-x86_64/repodata/repomd.xml: [Errno 14] HTTPS Error 404 – Not Found 以下のあたりでバージョンを取得している ansible-tower-setup-3.4.2-1/setup.sh:baseurl=$AW_REPO_URL/rpm/dependencies/$(grep version group_vars/all | grep
Continue reading ansible-tower setupメモ

Endlessh を使って ssh 接続をとてもゆっくりと処理して攻撃者に嫌がらせをする

ssh は攻撃が多いです.公開鍵認証にしておくと大分侵入に強くなりますがインターネットに直接繋がっているサーバでは攻撃はとても多いです. Endlessh はsshd の代わりに起動してバージョン情報を送る前のデータにほぼランダムな文字列をゆっくりと配信し続けて攻撃者の足止めをするプログラムのようです. 本当の sshd は別ポートで起動してそっちを使う感じでしょうか.22番を無くして port knocking や sslh を使うなどのほうがいいかもですが面白そうです. Endlessh: an SSH Tarpit « null program ということで手元で少し試してみました. 導入とビルド $ git clone https://github.com/skeeto/endlessh $ cd endlessh $ git log |head -1 commit 548a7b1521b2912e7e133d0d9df50e0e514f1f2c $ make port 22222 で起動 $ ./endlessh -v -p22222 & [1] 22698 2019-03-24T04:56:10.338Z Port 22222 2019-03-24T04:56:10.338Z Delay 10000 2019-03-24T04:56:10.338Z
Continue reading Endlessh を使って ssh 接続をとてもゆっくりと処理して攻撃者に嫌がらせをする

GNU social にアクセスするとなにも表示されなくなって困る

さっきまでは動いていたのにウェブブラウザ(qutebrowser)のバージョンアップに追従するために再起動して,自分用 GNU social にアクセスすると画面が真っ白です>< スマートフォンのアプリ経由(Twidere)だと動作しているので表示周りの問題でしょうか? config.php の $config[‘site’][‘logfile’] に指定しているログファイルを確認するとこんなメッセージがありました. 2019-03-22 14:35:28 LOG_DEBUG: [gnusocial.matoken.org:29424.bda9531d GET /] action.php – Server error ‘500’ on ‘qvitter’: Class ‘Locale’ not found 2019-03-22 14:35:28 LOG_ERR: [gnusocial.matoken.org:29424.bda9531d GET /] Handled serverError (500) but cannot output into desired format (NULL): ‘Class \’Locale\’ not found’ 2019-03-22 14:35:28 LOG_ERR: [gnusocial.matoken.org:29424.bda9531d GET /] ServerErrorAction: 500 Class
Continue reading GNU social にアクセスするとなにも表示されなくなって困る

apticron でDebian/Ubuntuのパッケージ更新情報を取得する

最近は Debian/Ubuntu等でのパッケージ更新確認のために crontab にこんな感じのものを登録していました. apt update 2>&1 | tail -1 | grep -v ‘All packages are up to date.’ && apt list –upgradable ; apt-cache stats これはパッケージ情報を更新して,アップデートがあったらパッケージ一覧を求めています.とりあえずこれで使えていたのですが,apticron というパッケージを見つけました. これはほぼ同じ機能のようですが,パッケージリストだけでなく changelog も含まれます. パッケージを導入すればとりあえず使えるようになります. 設定ファイルは /usr/lib/apticron/apticron.conf に雛形が用意されているので /etc/apticron/apticron.conf にコピーして編集します.といっても宛先のメールアドレスが root になっているのでそれを変更するくらいで問題なく使えています. 簡単便利. Debian では jessie から,Ubuntu では trusty からパッケージがあるようです. 2019-03-17 add) Google+(もうすぐ終了……) でjessie以前からあったようなというコメントをいただきました.changelogを見ると2002年からあったようです.packages.debian.org は jessie より古いものは置いてないので出てこないだけですね. $ zcat
Continue reading apticron でDebian/Ubuntuのパッケージ更新情報を取得する

OpenSSLでSHA512のPASSWORDを生成する

Linux の /etc/shadow のsha512形式の暗号化パスワードを生成するのに OpenSSL を利用したメモです. 最近は SHA512 が規定値になっている $ grep ^ENCRYPT_METHOD /etc/login.defs ENCRYPT_METHOD SHA512 openssl passwd は 1.1.1 から sha512 がサポートされている *) ‘openssl passwd’ can now produce SHA256 and SHA512 based output, Changes between 1.1.0i and 1.1.1 [11 Sep 2018] -6 オプションが SHA512 $ openssl version OpenSSL 1.1.1a 20 Nov 2018 (Library: OpenSSL 1.1.1b
Continue reading OpenSSLでSHA512のPASSWORDを生成する

プライバシーやセキュリティが守られるprotonVPNの無料プランを少し試す

セキュアなメールサービスの ProtonMail と同じ Proton Technologies AGの VPN サービスの ProtonVPN を少し試してみました. 存在は知っていましたが接続するには専用アプリのみが必要だと思いこんでいました.openVPN で接続できるようなので試してみました. ProtonVPN: Secure and Free VPN service for protecting your privacy ここでの VPN は拠点間などではなくスマートフォンやPCを公衆無線LANなどで接続したとき向けの個人向けVPNとしての話です. 無料VPNサービスはいろいろ見つかりますが,無料の代わりに個人情報を収集して販売していたりプライバシーポリシーでそういうことをしないとしつつも実際は行っていたりと怪しいものが多いです. Android用“VPNアプリ”の18%で暗号化が行われず、16%は家庭向け回線でホスト -INTERNET Watch Notes on Analytics and Tracking in Onavo Protect for iOS FTC complaint about Hotspot Shield 知識のある人であれば自宅にSBCなどで低価格,低消費電力でVPNサーバを用意したり,VPNサービスより安い価格のVPSサービスにセットアップして利用するなどといったことが可能ですが,知識のない人にサーバを立ててもらうのは難しいです.(一旦設定した後も使い続ける間はOSやサービスのアップデートなども必要だし……) ProtonVPN は有料プランの他に無料プランがあり,無料プランでもプライバシーやセキュリティが守られるとなっています.無料はお試し版という扱いですね.無料プランでは接続できるサーバが限られており,無料プランで接続できるサーバは事に比べて利用率が高くなっています.時間帯によっては100%になっているので速度は低下すると思います. 実際にプライバシーやセキュリティが守られるのかが不安ですが,もともとジャーナリストや活動家を守るために作られたものであったり,MozillaがFirefoxに向けてのVPNサービスにProtonVPNを選ぶなどそれなりに信頼できそうな気がします.(少なくとも今の時点では) Testing new ways to keep you safe
Continue reading プライバシーやセキュリティが守られるprotonVPNの無料プランを少し試す

Google Chrome / Chromium で PDFを自動的に開く代わりにダウンロードするようにする

Google Chrome / Chromium で PDF ファイルをクリックすると既定値では組み込み PDFビュワーで開かれます.しかし,情報漏えいが起こるようです. Chrome PDFビューワーの情報漏えいの脆弱性についてまとめてみた – piyolog 2019/3/1時点で未修正。 修正されるまでAdobe製のPDFリーダーの利用を推奨。 2019年4月下旬ころ修正の予定と発見者は報告。 ということで暫く治らないようです.自分は JavaScript を基本的に無効にしているので PDFドキュメントは開かれていないように見えますが不安なので無効にする設定を探してみました. chrome://settings/content/pdfDocuments にアクセスして「PDF ファイルを Chrome で自動的に開く代わりにダウンロードする」のチェックを On にする. これで次から PDF ファイルへのリンクで自動的にダウンロードされるようになる. #Okuar の JavaScript 無効化の設定が見当たらない…… 環境 $ dpkg-query -W google-chrome-stable chromium chromium 72.0.3626.121-1 google-chrome-stable 72.0.3626.121-1 $ lsb_release -dr Description: Debian GNU/Linux buster/sid Release: unstable $ uname -m
Continue reading Google Chrome / Chromium で PDFを自動的に開く代わりにダウンロードするようにする

特定グループでのみ dmesg command を有効にする

Debian の linux 4.8.0 以降で一般ユーザによる dmesg が無効化されたので,kernelパラメータの kernel.dmesg_restrict を修正して dmesg command を一般ユーザでも実行できるようにしましたがこれだと全ユーザで実行できてしまいます.sudo を設定してログの読める adm ユーザだけが dmesg command を実行できるようにしてみました. Debian buster/sid でdmesgを一般ユーザで実行 – matoken’s meme dmesgを実行したいユーザをadm group に登録する(loginし直して反映しておく) $ sudo addgroup matoken adm $ exit visudo command で /etc/sudoers を編集して adm group は NOPASSWD で dmesg command を実行できるようにする(念の為編集前にもう1枚端末を開いて sudo -s しておいたり,at等で5分後に /etc/sudoers を巻き戻すようにしておくとミスっても安心) $ sudo visudo
Continue reading 特定グループでのみ dmesg command を有効にする